2025-05-14 Top Stories

2025-05-14 Hacker News Top Stories #

  1. Việc chuyển mã nguồn Mozilla Firefox lên GitHub làm dấy lên lo ngại của các nhà phát triển về an ninh dữ liệu và quyền tự chủ.
  2. Tối ưu hóa phần mềm thường bị hy sinh vì ưu tiên thị trường, dẫn đến chất lượng thấp và trải nghiệm người dùng kém.
  3. Cửa sổ quyền của macOS tồn tại lỗ hổng giả mạo (CVE-2025-31250), người dùng cần cảnh giác với các yêu cầu quyền độc hại.
  4. FastVLM đạt được tốc độ xử lý hình ảnh nhanh hơn LLaVA 85 lần thông qua mã hóa hình ảnh hiệu quả.
  5. GNU Screen 5.0.0 tồn tại lỗ hổng leo thang đặc quyền cục bộ (CVE-2025-23395), nên vô hiệu hóa quyền setuid-root.
  6. Lỗ hổng chèn đặc quyền nhánh (BPI) của bộ xử lý Intel có thể vượt qua các biện pháp bảo vệ phần cứng, cần cập nhật BIOS và vi mã.
  7. Duy trì các mối quan hệ giữa các cá nhân trong môi trường làm việc áp lực cao có lợi hơn cho sự phát triển nghề nghiệp so với việc theo đuổi các mục tiêu ngắn hạn.
  8. Nextcloud cáo buộc Google Play Store hạn chế quyền ứng dụng của mình, nghi ngờ hành vi phản cạnh tranh.
  9. Cựu quan chức của Quỹ Khoa học Quốc gia chỉ trích sự can thiệp chính trị phá hoại tính độc lập của các tổ chức học thuật và tự do nghiên cứu khoa học.
  10. Trích xuất văn bản PDF phải đối mặt với những thách thức kỹ thuật do đặc tính định dạng, cần kết hợp các phương pháp thống kê và học máy để tối ưu hóa.

Mozilla Firefox – Official GitHub repo #

https://github.com/mozilla-firefox/firefox

Đây là kho lưu trữ chính thức của trình duyệt Mozilla Firefox. Nội dung trang bao gồm mô tả dự án, kho mã, lịch sử commit, theo dõi vấn đề, v.v.

Phần mô tả dự án giới thiệu các chức năng và đặc điểm của trình duyệt Mozilla Firefox, bao gồm các ưu điểm về tốc độ, bảo mật và bảo vệ quyền riêng tư. Đồng thời, nó cũng đề cập đến tính chất mã nguồn mở của dự án, hoan nghênh các nhà phát triển tham gia đóng góp.

Phần kho mã hiển thị cấu trúc mã của dự án, bao gồm các thư mục và tệp khác nhau, chẳng hạn như browser, devtools, docs, v.v. Mỗi thư mục và tệp đều có mô tả và lịch sử commit tương ứng, giúp bạn dễ dàng xem các thay đổi và cập nhật của mã.

Phần lịch sử commit ghi lại tất cả các bản ghi commit của dự án, bao gồm mô tả, tác giả và thời gian của mỗi commit. Bạn có thể sử dụng lịch sử commit để theo dõi sự phát triển và cập nhật của dự án.

Phần theo dõi vấn đề được sử dụng để ghi lại và theo dõi các vấn đề và lỗi trong dự án, bao gồm mô tả vấn đề, trạng thái và giải pháp, v.v. Các nhà phát triển có thể sử dụng phần này để báo cáo và giải quyết vấn đề, đảm bảo chất lượng và tính ổn định của dự án.

Ngoài ra, trang còn bao gồm một số thông tin khác, chẳng hạn như giấy phép của dự án, danh sách người đóng góp, các liên kết liên quan, v.v. Những thông tin này có thể giúp các nhà phát triển hiểu rõ hơn và tham gia vào dự án. Nói chung, trang web này cung cấp một cái nhìn tổng quan toàn diện và chi tiết về dự án, giúp các nhà phát triển dễ dàng tìm hiểu và tham gia vào quá trình phát triển trình duyệt Mozilla Firefox.

HN | Nóng: 774 điểm | 421 bình luận | Tác giả: thefilmore | 18 giờ trước #

https://news.ycombinator.com/item?id=43969827

  • Mozilla chuyển mã Firefox từ Mercurial sang GitHub, điều này có thể gây bất tiện cho một số nhà phát triển
  • Việc sử dụng GitHub làm kho lưu trữ mã có thể cho phép Microsoft thu thập nhiều dữ liệu mã hơn và có quyền kiểm soát lớn hơn
  • Do tính chất phi tập trung của Git, các nhà phát triển có thể lưu trữ mã ở bất kỳ đâu, tránh sự phụ thuộc vào GitHub
  • Các hạn chế của GitHub, chẳng hạn như không hỗ trợ IPv6 và hạn chế truy cập đối với một số quốc gia, có thể ảnh hưởng đến trải nghiệm của nhà phát triển
  • Sử dụng Phabricator để xem xét mã và gửi bản vá, không cần tài khoản GitHub
  • Một số nhà phát triển bị cấm tài khoản hoặc bị hạn chế do chính sách của GitHub, chẳng hạn như yêu cầu cung cấp số điện thoại
  • Việc lưu trữ mã trên GitHub có thể khiến các nhà phát triển mất quyền kiểm soát và quyền tự chủ đối với mã
  • Một số nhà phát triển cho rằng việc sử dụng GitHub chỉ là để thuận tiện, trên thực tế có thể sử dụng các kho lưu trữ mã khác, chẳng hạn như Codeberg
  • Quyết định của Mozilla có thể khiến các nhà phát triển lo lắng, vì GitHub là một nền tảng thương mại, có thể ưu tiên lợi ích của riêng mình hơn là lợi ích của cộng đồng mã nguồn mở

The world could run on older hardware if software optimization was a priority #

https://twitter.com/ID_AA_Carmack/status/1922100771392520710

Một bài đăng của John Carmack và phản hồi cho một người dùng khác, LaurieWired. Bài đăng của John Carmack thảo luận về tầm quan trọng của việc tối ưu hóa phần mềm, nếu việc tối ưu hóa phần mềm trở thành ưu tiên hàng đầu, nhiều hệ thống trên thế giới có thể chạy trên phần cứng lỗi thời. Ông cũng đề cập rằng nếu không có khả năng tính toán giá rẻ và có thể mở rộng, các sản phẩm sáng tạo mới sẽ trở nên hiếm hoi.

ATYSbhCchoKa1XxeZvQctdtfnQf.png

Bài đăng gốc của LaurieWired khám phá một thí nghiệm tư duy thú vị: điều gì sẽ xảy ra nếu nhân loại quên cách chế tạo CPU? Cô ấy giả định rằng một ngày nào đó, được gọi là “Ngày Không Mang Đi” (Z-Day), sẽ không còn thiết kế silicon mới nào được sản xuất nữa. Trong tình huống này, các thiết kế lõi tiên tiến hiện có sẽ phải đối mặt với những thách thức lớn. Giả sử chúng ta giữ lại nguồn cung hiện có, LaurieWired phân tích tình huống này có thể diễn ra như thế nào.

HN | Nóng: 543 điểm | 528 bình luận | Tác giả: turrini | 13 giờ trước #

https://news.ycombinator.com/item?id=43971464

  • Tối ưu hóa phần mềm không phải là ưu tiên hàng đầu của thị trường, dẫn đến chất lượng phần mềm nhìn chung thấp
  • Sự nhận thức của thị trường về chất lượng phần mềm tồn tại sự bất cân xứng thông tin, người mua khó phân biệt được phần mềm chất lượng cao và chất lượng thấp
  • Các doanh nghiệp thường hy sinh chất lượng phần mềm để giảm chi phí và nâng cao khả năng cạnh tranh
  • Phần lớn phần mềm trên thị trường được viết bởi các nhà phát triển mới vào nghề, chất lượng khó đảm bảo
  • Chất lượng phần mềm không phải là yếu tố quyết định doanh số, đầu tư vào marketing và quảng cáo đóng vai trò quan trọng hơn trong việc bán hàng
  • Doanh nghiệp nên phân bổ hợp lý nguồn lực cho chất lượng phần mềm và marketing dựa trên đặc điểm sản phẩm và thị trường mục tiêu
  • Phần mềm chất lượng cao có thể mang lại hiệu ứng truyền miệng và người dùng trung thành, nhưng điều này đòi hỏi doanh nghiệp đầu tư và kiên trì lâu dài
  • Trong khi theo đuổi tăng trưởng và lợi nhuận, doanh nghiệp dễ bỏ qua chất lượng phần mềm và trải nghiệm người dùng, dẫn đến chất lượng sản phẩm giảm sút
  • Chất lượng phần mềm và marketing là hai yếu tố quan trọng cho sự thành công của doanh nghiệp, doanh nghiệp cần cân bằng và phân bổ nguồn lực hợp lý

Can you trust that permission pop-up on macOS? #

https://wts.dev/posts/tcc-who/

Bài viết này thảo luận về một lỗ hổng bảo mật liên quan đến hệ thống macOS, được đánh số CVE-2025-31250. Lỗ hổng này cho phép bất kỳ ứng dụng A nào hiển thị một lời nhắc yêu cầu quyền, giả mạo là đến từ ứng dụng B, và áp dụng phản hồi của người dùng cho ứng dụng C. Lỗ hổng này cho phép kẻ tấn công lừa người dùng cấp các quyền không cần thiết.

Bài viết đề cập rằng lỗ hổng này đã được sửa trong phiên bản macOS Sequoia 15.5, nhưng tác giả đã thử nghiệm và phát hiện ra rằng các phiên bản macOS Ventura 13.7.6 và macOS Sonoma 14.7.6 vẫn tồn tại lỗ hổng này. Tác giả cho biết, lỗ hổng này là do khiếm khuyết của khung TCC (Transparency, Consent and Control) gây ra, TCC là hệ thống trong macOS được sử dụng để quản lý quyền của ứng dụng.

Khung TCC sử dụng tin nhắn XPC (Cross-Process Communication) để giao tiếp với các ứng dụng, nhưng khung này có một khiếm khuyết, cho phép các ứng dụng gửi các tin nhắn XPC được chế tạo đặc biệt để đánh lừa TCC hiển thị các lời nhắc yêu cầu quyền sai. Lỗ hổng này có thể bị khai thác để lừa người dùng cấp các quyền không cần thiết, chẳng hạn như cho phép ứng dụng truy cập dữ liệu nhạy cảm hoặc thực hiện các thao tác trái phép.

Bài viết cũng đề cập rằng Apple Events là cơ chế được sử dụng trong macOS để giao tiếp giữa các tiến trình, khung TCC sử dụng Apple Events để quản lý quyền của ứng dụng. Tuy nhiên, Apple Events cũng có những rủi ro bảo mật, kẻ tấn công có thể sử dụng Apple Events để thực hiện các thao tác trái phép. Tác giả cho biết, khiếm khuyết của khung TCC và rủi ro bảo mật của Apple Events khiến hệ thống macOS tồn tại những nguy cơ bảo mật, người dùng cần chú ý đến những rủi ro này và thực hiện các biện pháp để bảo vệ hệ thống của mình.

Nói chung, bài viết này thảo luận về một lỗ hổng bảo mật trong macOS, nhắc nhở người dùng chú ý đến rủi ro bảo mật của khung TCC và Apple Events, đồng thời kêu gọi người dùng thực hiện các biện pháp để bảo vệ hệ thống của mình.

HN | Nóng: 361 điểm | 240 bình luận | Tác giả: nmgycombinator | 1 ngày trước #

https://news.ycombinator.com/item?id=43966089

  • Thiết kế cửa sổ bật lên xin quyền của macOS có lỗ hổng bảo mật, có thể bị phần mềm độc hại giả mạo, dẫn đến việc người dùng nhập mật khẩu.
  • Cửa sổ bật lên xin quyền hiện tại không giải thích rõ tại sao cần quyền, cũng như không cung cấp giải thích về hậu quả của việc từ chối quyền.
  • Nên cải thiện thiết kế của cửa sổ bật lên xin quyền, ví dụ như cung cấp giải thích chi tiết về quyền, giải thích về hậu quả của việc từ chối quyền và cung cấp khả năng kiểm soát quyền chi tiết hơn.
  • Khái niệm Capabilities có thể cải thiện việc quản lý quyền, nhưng việc triển khai nó cần xem xét tính tương thích và bảo mật của POSIX.
  • macOS đã có một số chức năng quản lý quyền, chẳng hạn như bảng Privacy & Security, nhưng vẫn cần cải thiện.
  • App Store không thể đảm bảo tính bảo mật của ứng dụng, người dùng vẫn cần thận trọng với các yêu cầu quyền.
  • Capabilities có thể được triển khai ở cấp độ thấp, ví dụ như sử dụng mã C, và một số hệ điều hành đã triển khai cơ chế này.

FastVLM: Efficient vision encoding for vision language models #

https://github.com/apple/ml-fastvlm

Trang web này là kho lưu trữ triển khai chính thức của FastVLM, một phương pháp mã hóa hình ảnh hiệu quả cho các mô hình ngôn ngữ thị giác. Kho lưu trữ này bao gồm mã, mô hình và tài liệu của FastVLM.

Đặc điểm chính của FastVLM là giới thiệu một bộ mã hóa hình ảnh hỗn hợp mới FastViTHD, bộ mã hóa này có thể xuất ra ít token hơn và giảm đáng kể thời gian mã hóa hình ảnh độ phân giải cao. Biến thể nhỏ nhất của FastVLM có thể nhanh hơn 85 lần so với LLaVA-OneVision-0.5B và giảm kích thước bộ mã hóa hình ảnh đi 3.4 lần. Đồng thời, biến thể lớn hơn của FastVLM sử dụng Qwen2-7B LLM có thể nhanh hơn 7.9 lần so với các công việc gần đây như Cambrian-1-8B và chỉ cần một bộ mã hóa hình ảnh.

Để bắt đầu sử dụng FastVLM, bạn cần làm theo hướng dẫn của kho mã LLaVA để huấn luyện hoặc tinh chỉnh các biến thể của riêng bạn. Đồng thời, cung cấp hướng dẫn chạy suy luận, bao gồm thiết lập môi trường, tải xuống các mô hình được huấn luyện trước và chạy các lệnh suy luận. FastVLM cũng cung cấp một thư viện mô hình, bao gồm các mô hình được huấn luyện trước ở các giai đoạn và kích thước khác nhau, bạn có thể tải xuống tất cả các mô hình được huấn luyện trước bằng cách chạy một tập lệnh.

Các ví dụ sử dụng FastVLM bao gồm chạy suy luận và chạy suy luận trên Apple Silicon. Để chạy suy luận trên Apple Silicon, bạn cần xuất mô hình PyTorch sang định dạng phù hợp với Apple Silicon, bạn có thể tìm thấy hướng dẫn chi tiết trong thư mục con model_export. Đồng thời, FastVLM cũng cung cấp ba mô hình tương thích trên Apple Silicon: fastvlm_0.5b_stage3, fastvlm_1.5b_stage3 và fastvlm_7b_stage3.

Nếu bạn cần trích dẫn mã hoặc mô hình của FastVLM, bạn cần trích dẫn các bài báo liên quan. Kho mã của FastVLM được xây dựng dựa trên nhiều đóng góp mã nguồn mở, thông tin ghi nhận liên quan có thể được tìm thấy trong tệp ACKNOWLEDGEMENTS. Đồng thời, mã và mô hình của FastVLM đều có giấy phép tương ứng, bạn cần xem LICENSE và LICENSE_MODEL trước khi sử dụng.

HN | Nóng: 349 điểm | 69 bình luận | Tác giả: nhod | 22 giờ trước #

https://news.ycombinator.com/item?id=43968897

  • Kích thước của mô hình FastVLM quá lớn đối với mỗi ứng dụng, Apple có thể sẽ tải trước các mô hình này ở cấp độ hệ điều hành và cung cấp SDK cho tất cả các ứng dụng.
  • Các mô hình cơ bản có trọng số mở, tiêu chuẩn hệ điều hành có tiềm năng rất lớn, đặc biệt nếu API cho phép các nhà phát triển ứng dụng tải các mô hình LoRa tinh chỉnh tùy chỉnh trong thời gian chạy.
  • Thị giác liên tục rất hữu ích cho các ứng dụng trên thiết bị như trợ lý, đòi hỏi một mức tăng tốc nhất định.
  • Có người đang nỗ lực làm cho các mô hình nhỏ hơn và hiệu quả hơn, thay vì chỉ đơn giản là tăng tài nguyên.
  • Sự tiến bộ của các mô hình VLM mang lại hy vọng cho tương lai, đặc biệt đối với trẻ em có thể bị mất thị lực, chúng có thể tương tác với thế giới thông qua các công nghệ này.
  • Có người cho rằng FSD của Tesla là một mô hình VLA end-to-end, mã hóa hình ảnh hiệu quả là rất quan trọng để làm cho robot an toàn và phản ứng nhanh.
  • Có nhà phát triển đang sử dụng mô hình VLM để xây dựng các ứng dụng thoại và hình ảnh thời gian thực, trong tương lai có thể chạy các mô hình này trên thiết bị.
  • Có người đã đề cập đến mô hình SmolVLM và nền tảng HuggingFace, cho rằng các mô hình và nền tảng này rất hữu ích cho các nhà phát triển.

Multiple security issues in GNU Screen #

https://www.openwall.com/lists/oss-security/2025/05/12/1

Trang web này chủ yếu thảo luận về các vấn đề bảo mật của phần mềm Screen. Screen là một hệ điều hành máy chủ GNU/*/Linux, gần đây đã phát hiện ra nhiều lỗ hổng bảo mật, đặc biệt là trong phiên bản 5.0.0. Những lỗ hổng này chủ yếu ảnh hưởng đến các hệ thống đã cài đặt bit setuid-root, chẳng hạn như Arch Linux và NetBSD.

Phần mềm Screen cung cấp chế độ đa người dùng, cho phép người dùng đính kèm vào phiên của người dùng khác, với điều kiện là có thông tin xác thực phù hợp. Chế độ này làm tăng bề mặt tấn công, vì mã phức tạp của Screen sẽ chạy với quyền root. Trong chế độ đa người dùng, các phiên Screen được nhận dạng bằng tên, tên cần có tiền tố là “/”. Người dùng có thể tạo phiên đa người dùng thông qua dòng lệnh và quản lý quyền truy cập vào phiên thông qua danh sách kiểm soát truy cập (ACL).

Trong các vấn đề bảo mật, nghiêm trọng nhất là một lỗ hổng root cục bộ (CVE-2025-23395), nó ảnh hưởng đến phiên bản Screen 5.0.0, khi Screen chạy với quyền setuid-root. Lỗ hổng này cho phép người dùng trái phép tạo các tệp ở vị trí tùy ý, với quyền sở hữu root và chế độ 0644, những tệp này có thể được sử dụng để ghi lại dữ liệu phiên Screen. Screen từ bỏ quyền một cách chính xác khi mở tệp nhật ký, nhưng khi cần mở lại tệp nhật ký, sẽ xảy ra leo thang quyền.

Ngoài ra, trang web cũng thảo luận về các vấn đề bảo mật khác, bao gồm các vấn đề có thể xảy ra thêm với việc triển khai setuid-root của Screen và các đề xuất để cải thiện tình trạng bảo mật của Screen. Đồng thời, cũng đề cập đến những khó khăn gặp phải trong việc phối hợp tiết lộ những vấn đề này. Cuối cùng, trang web cung cấp một ma trận bị ảnh hưởng, cung cấp cái nhìn tổng quan nhanh về tình hình bị ảnh hưởng của các hệ thống Linux và UNIX khác nhau.

HN | Nóng: 325 điểm | 192 bình luận | Tác giả: st_goliath | 12 giờ trước #

https://news.ycombinator.com/item?id=43971716

  • Chế độ đa người dùng của GNU Screen làm tăng bề mặt tấn công vì nó cần chạy với quyền root.
  • tmux sử dụng Unix domain socket, thay vì phương pháp setuid-root, có thể an toàn hơn.
  • Cơ sở mã của GNU Screen cũ hơn và các nhà phát triển không quen thuộc với các cơ chế bên trong của nó, dẫn đến khó khăn trong việc bảo trì và cập nhật.
  • Việc học và duy trì các cơ chế bên trong của GNU Screen rất khó khăn, đặc biệt đối với các nhà phát triển mới.
  • Một số tính năng và thiết kế của GNU Screen đã lỗi thời, chẳng hạn như sử dụng biến môi trường TERMCAP.
  • Sự thay đổi trong thái độ về bảo mật khiến một số thứ từng được coi là tính năng giờ được coi là lỗ hổng bảo mật.
  • Một số người dùng đã chuyển từ GNU Screen sang tmux hoặc các lựa chọn thay thế khác, chẳng hạn như zellij.
  • Cấu hình và cách sử dụng tmux và zellij có thể cần một chút thời gian để làm quen, nhưng cung cấp nhiều chức năng và tính linh hoạt hơn.
  • Các phím tắt và hành vi mặc định của GNU Screen đã ăn sâu vào tâm trí và khó thay đổi.
  • Khi sử dụng GNU Screen trên nhiều máy hoặc máy ngẫu nhiên, cài đặt mặc định có thể là một vấn đề.
  • Kích thước tệp nhị phân của zellij lớn hơn, có thể là do liên kết tĩnh và các phụ thuộc cargo.

Branch Privilege Injection: Exploiting branch predictor race conditions #

https://comsec.ethz.ch/research/microarch/branch-privilege-injection/

Bài viết này giới thiệu một lỗ hổng bảo mật mới, được gọi là Branch Privilege Injection (BPI), lỗ hổng này ảnh hưởng đến bộ xử lý Intel. Tấn công BPI có thể vượt qua các biện pháp giảm thiểu phần cứng của Intel, chẳng hạn như Enhanced Indirect Branch Restricted Speculation (eIBRS) và Indirect Branch Prediction Barrier (IBPB), do đó cho phép rò rỉ bộ nhớ tùy ý.

Các nhà nghiên cứu phát hiện ra rằng việc cập nhật bộ dự đoán nhánh trong bộ xử lý Intel được thực hiện không đồng bộ, có nghĩa là việc cập nhật có thể bị trì hoãn hàng chục hoặc hàng trăm chu kỳ xung nhịp. Trong một số trường hợp, các bản cập nhật không đồng bộ này có thể dẫn đến việc bộ dự đoán nhánh không đồng bộ hóa với luồng lệnh, do đó tạo ra tình trạng tranh chấp bộ dự đoán nhánh. Tình trạng tranh chấp này có thể bị khai thác để thực hiện tấn công BPI.

Tấn công BPI hoạt động bằng cách thao túng việc cập nhật bộ dự đoán nhánh để cho phép rò rỉ bộ nhớ tùy ý. Kẻ tấn công có thể tạo một bản cập nhật bộ dự đoán nhánh độc hại, sau đó thực thi bản cập nhật đó trong quá trình chuyển đổi đặc quyền (ví dụ: từ chế độ người dùng sang chế độ kernel) hoặc thao tác IBPB. Vì việc cập nhật bộ dự đoán nhánh được thực hiện không đồng bộ, nên bản cập nhật có thể vẫn có hiệu lực sau khi chuyển đổi đặc quyền, do đó cho phép rò rỉ bộ nhớ tùy ý.

Các nhà nghiên cứu đã chứng minh rằng tấn công BPI có thể được thực hiện trên các bộ xử lý mới nhất của Intel (bao gồm Raptor Lake và Alder Lake) và có thể vượt qua các biện pháp giảm thiểu eIBRS và IBPB. Họ cũng cung cấp một bản cập nhật vi mã để giảm thiểu tấn công BPI và đánh giá chi phí hiệu năng của bản cập nhật đó.

Tấn công BPI không chỉ ảnh hưởng đến hệ thống Linux mà còn có thể ảnh hưởng đến các hệ điều hành khác, vì lỗ hổng này tồn tại trong phần cứng của bộ xử lý Intel. Các nhà nghiên cứu khuyên người dùng nên cài đặt các bản cập nhật hệ điều hành và BIOS mới nhất để giảm thiểu tấn công BPI.

Tóm lại, tấn công BPI là một lỗ hổng bảo mật mới, ảnh hưởng đến bộ xử lý Intel, cho phép kẻ tấn công thực hiện rò rỉ bộ nhớ tùy ý. Cuộc tấn công này có thể vượt qua các biện pháp giảm thiểu phần cứng của Intel, bao gồm eIBRS và IBPB. Các nhà nghiên cứu đã chứng minh tính khả thi của tấn công BPI và cung cấp một bản cập nhật vi mã để giảm thiểu cuộc tấn công đó. Người dùng nên cài đặt các bản cập nhật hệ điều hành và BIOS mới nhất để bảo vệ mình khỏi tấn công BPI.

HN | Nóng: 306 điểm | 115 bình luận | Tác giả: alberto-m | 7 giờ trước #

https://news.ycombinator.com/item?id=43974891

  • Dự đoán rẽ nhánh có thể mang lại rủi ro bảo mật, cần sự hợp tác giữa phần mềm và phần cứng để giải quyết vấn đề này
  • Hiệu năng của bộ xử lý hiện đại phụ thuộc vào dự đoán rẽ nhánh, loại bỏ dự đoán rẽ nhánh có thể dẫn đến hiệu năng giảm đáng kể
  • Bảo mật phần cứng là một chủ đề quan trọng, cần nhiều nghiên cứu và quan tâm hơn
  • Việc cập nhật dự đoán rẽ nhánh có thể bị trì hoãn, dẫn đến lỗ hổng bảo mật
  • Việc cập nhật predictor có thể bị trì hoãn cho đến khi lệnh rẽ nhánh “về hưu”, lệnh dispatch-serializing sẽ không chặn pipeline chờ cập nhật trạng thái predictor
  • Các lệnh thay đổi cấp độ đặc quyền cũng sẽ không chặn pipeline chờ cập nhật trạng thái predictor, điều này có thể dẫn đến vấn đề bảo mật
  • Các khóa học và nghiên cứu về bảo mật phần cứng có thể giúp mọi người hiểu và giải quyết những vấn đề này tốt hơn
  • Loại bỏ dự đoán rẽ nhánh có thể dẫn đến giảm hiệu năng, nhưng có thể cải thiện hiệu năng bằng các cách khác, chẳng hạn như tối ưu hóa phần mềm và phần cứng
  • Rủi ro bảo mật do dự đoán rẽ nhánh mang lại có thể bị kẻ tấn công lợi dụng, cần có biện pháp để ngăn chặn cuộc tấn công này
  • Bảo mật phần cứng là một vấn đề phức tạp, cần sự hợp tác và nghiên cứu từ nhiều phía để giải quyết

In a high-stress work environment, prioritize relationships #

https://wqtz.bearblog.dev/high-stress-job-relationships/

Bài viết này thảo luận về tầm quan trọng của việc ưu tiên các mối quan hệ giữa các cá nhân trong môi trường làm việc áp lực cao. Tác giả bắt đầu bằng cách mô tả hiện trạng của môi trường làm việc áp lực cao, nơi mọi người cảm thấy cực kỳ căng thẳng trong công việc, thậm chí có thể nảy sinh ý định từ chức. Tác giả chỉ ra rằng, trong môi trường này, ai cũng cảm thấy áp lực nặng nề, mọi người đều phải chịu áp lực từ cấp trên, dẫn đến công việc trở nên vô nghĩa.

Tác giả nhấn mạnh rằng, ngay cả trong môi trường áp lực cao này, việc duy trì các mối quan hệ tốt đẹp giữa các cá nhân là vô cùng quan trọng. Bởi vì nếu bạn quyết định từ chức, bạn cần những mối quan hệ này để có được cơ hội việc làm mới, ví dụ như thư giới thiệu. Tác giả cảnh báo không nên nổi nóng với đồng nghiệp khi bị áp lực, vì điều này sẽ để lại ấn tượng xấu cho bạn, bạn sẽ bị nhớ đến là “gã đó”, ngay cả khi bạn đã rời khỏi công ty.

Tác giả cuối cùng nhấn mạnh rằng, ưu tiên các mối quan hệ giữa các cá nhân là vô cùng quan trọng. Trong công việc, nên xem xét nhu cầu và cảm xúc của mọi người, thay vì chỉ tập trung vào thời hạn và tầm quan trọng của công việc. Mỗi người đều là con người, nên đối xử với họ theo cách các mối quan hệ giữa các cá nhân, thay vì để “môi trường chuyên nghiệp” làm xói mòn những mối quan hệ này. Bằng cách ưu tiên các mối quan hệ giữa các cá nhân, chúng ta có thể xây dựng một môi trường làm việc tốt hơn và một tương lai tốt đẹp hơn.

HN | Nóng: 271 điểm | 175 bình luận | Tác giả: wqtz | 10 giờ trước #

https://news.ycombinator.com/item?id=43972535

  • Trong môi trường làm việc áp lực cao, các mối quan hệ giữa các cá nhân là yếu tố quan trọng và cần được ưu tiên.
  • Áp lực trong công việc thường đến từ những người không giỏi trong công việc, họ cố gắng chuyển vấn đề cho người khác.
  • Việc xây dựng mối quan hệ với những người khác nhau là khác nhau, một loại là về cách hợp tác, loại còn lại là về cách giữ khoảng cách.
  • Có ý kiến cho rằng một số người cảm thấy áp lực vì họ thiếu mục tiêu và kế hoạch rõ ràng, khiến họ cảm thấy bối rối và không chắc chắn.
  • Cũng có người cho rằng, tình trạng này xảy ra là do vấn đề của ban quản lý, ban quản lý cố gắng chuyển vấn đề cho cấp dưới.
  • Cũng có người chỉ ra rằng, tính chủ động và tinh thần trách nhiệm cá nhân có thể được bồi dưỡng thông qua kinh nghiệm và đào tạo, chứ không phải là bẩm sinh.
  • Một số người cho rằng, sự trì trệ của công ty là do nhân viên quá chú trọng vào việc duy trì các quy trình và mô hình hiện có, thay vì đổi mới và tiến bộ.
  • Cũng có người cảm thấy rằng, nhân viên cần sự giúp đỡ và hướng dẫn không phải là vấn đề, vấn đề là làm thế nào để giúp đỡ và hướng dẫn họ một cách hiệu quả.

Nextcloud cries foul over Google Play Store app rejection #

https://www.theregister.com/2025/05/13/nextcloud_play_store_complaint/

Nextcloud, một nhà cung cấp phần mềm châu Âu, gần đây đã cáo buộc Google cố tình hạn chế chức năng của ứng dụng Android Files của mình, ứng dụng này có hơn 800.000 người dùng. Vấn đề nằm ở quyền “All files access” (Truy cập tất cả các tệp), Google yêu cầu Nextcloud sử dụng các công cụ truy cập bộ nhớ tập trung vào quyền riêng tư hơn, chẳng hạn như Storage Access Framework (SAF) hoặc MediaStore API. Tuy nhiên, Nextcloud tuyên bố rằng các giải pháp thay thế này không thể đáp ứng nhu cầu của ứng dụng của họ, vì chúng không thể cung cấp quyền truy cập vào tất cả các loại tệp.

Nextcloud cho biết, ứng dụng Android Files của họ đã có quyền đọc và ghi tất cả các loại tệp kể từ khi ra mắt vào năm 2016 và chưa bao giờ nhận được bất kỳ khiếu nại nào từ Google về các vấn đề bảo mật. Tuy nhiên, vào năm 2024, Google Play Store đột ngột thu hồi quyền này, làm hạn chế hiệu quả chức năng của ứng dụng. Nextcloud đã cố gắng liên lạc với Google, nhưng chỉ nhận được các đoạn hướng dẫn dành cho nhà phát triển được sao chép và dán. Mặc dù Nextcloud đã nhiều lần kháng cáo, Google vẫn từ chối khôi phục đầy đủ chức năng cho ứng dụng.

Nextcloud tin rằng hành vi của Google là nhằm hạn chế cạnh tranh và kìm hãm sự phát triển của các công ty nhỏ. Nextcloud đã viện dẫn các hành vi tương tự của các công ty lớn như Microsoft và Apple, chỉ ra rằng các công ty này đã bị cáo buộc thực hiện các hành vi phản cạnh tranh. Nextcloud cũng đề cập rằng họ đã cùng với các công ty khác đệ đơn khiếu nại lên Liên minh Châu Âu vào năm 2021, cáo buộc các hành vi phản cạnh tranh của Microsoft, nhưng cho đến nay vẫn chưa được giải quyết.

Nextcloud cho biết, các công ty nhỏ như họ hầu như không có cách nào để chống lại các hạn chế của các công ty lớn, và tốc độ thực thi của các cơ quan quản lý cũng quá chậm, số tiền phạt quá ít, không thể tạo ra tác động răn đe hiệu quả đối với các công ty lớn. Nextcloud tin rằng các công ty lớn lo sợ rằng các công ty nhỏ sẽ phá vỡ thị phần của họ, do đó cố gắng hạn chế sự phát triển của các công ty nhỏ. Ứng dụng Android Files của Nextcloud hiện có 824.000 người dùng và công ty cho biết sẽ tiếp tục nỗ lực để duy trì chức năng của ứng dụng và quyền lợi của người dùng.

HN | Nóng: 244 điểm | 153 bình luận | Tác giả: brodo | 15 giờ trước #

https://news.ycombinator.com/item?id=43970959

  • Google từ chối ứng dụng NextCloud là do vấn đề bảo mật, NextCloud cần truy cập tất cả các tệp, nhưng chính sách của Google không cho phép điều này
  • NextCloud có thể sử dụng phiên bản FDroid để vượt qua các hạn chế của Google
  • Chính sách của Google là để bảo vệ sự an toàn và quyền riêng tư của người dùng, nhưng cũng có thể hạn chế chức năng của một số ứng dụng
  • NextCloud cần truy cập tất cả các tệp để thực hiện các chức năng của nó, nhưng chính sách của Google không cho phép điều này, dẫn đến xung đột
  • Chính sách của Google có thể là để bảo vệ lợi ích của riêng mình, thay vì thực sự xem xét nhu cầu của người dùng
  • Sử dụng scoped storage có thể giải quyết một phần vấn đề, nhưng có thể có những hạn chế về hiệu suất
  • Nếu Google cấm cài đặt các ứng dụng không phải từ Google Store, họ có thể phải đối mặt với các khoản phạt và xử phạt từ EU
  • Chính sách của Google có thể hạn chế sự tự do và sáng tạo của các nhà phát triển
  • NextCloud có thể sử dụng các phương pháp khác để thực hiện các chức năng của nó, nhưng có thể làm tăng thêm sự phức tạp và bất tiện
  • Chính sách của Google có thể khiến các nhà phát triển lựa chọn các nền tảng hoặc kênh phân phối khác
  • Chính sách của Google có thể gây tổn hại đến quyền và lợi ích của người dùng
  • Google nên xem xét nhu cầu của người dùng và nhu cầu của các nhà phát triển, tìm một điểm cân bằng để giải quyết vấn đề

Why I’m resigning from the National Science Foundation #

https://time.com/7285045/resigning-national-science-foundation-library-congress/

Tác giả của bài viết này, Alondra Nelson, đã tuyên bố rằng bà sẽ từ chức các vị trí của mình tại Quỹ Khoa học Quốc gia (National Science Foundation) và Thư viện Quốc hội (Library of Congress). Nelson, người từng là Giám đốc Chính sách Khoa học và Công nghệ của Nhà Trắng, cho biết mặc dù bà đã hy vọng những tổ chức công này có thể tiếp tục sứ mệnh thúc đẩy và bảo vệ tri thức, nhưng thực tế lại khiến bà không thể tiếp tục.

Nelson chỉ ra rằng các tổ chức như Quỹ Khoa học Quốc gia và Thư viện Quốc hội đang phải đối mặt với một môi trường chính trị ngày càng tồi tệ. Các nhà khoa học, thủ thư và nhà phân tích chính sách, mặc dù làm việc chăm chỉ, vẫn không thể chống lại áp lực từ chính quyền. Sự độc lập và tính toàn vẹn của các tổ chức này đang bị xói mòn, và Nelson cho biết bà không thể tiếp tục phục vụ các tổ chức này nữa.

Nelson đặc biệt đề cập đến tình trạng hiện tại của Quỹ Khoa học Quốc gia, bà nói rằng sự độc lập của tổ chức này đã bị phá hoại và chính quyền đang can thiệp vào quá trình ra quyết định của nó. Bà cũng đề cập đến Hội đồng Học giả (Scholars Council) của Thư viện Quốc hội, một cơ quan lẽ ra phải tư vấn cho các dự án của thư viện, nhưng giờ đã mất đi chức năng ban đầu của nó.

Nelson cho biết, việc bà từ chức là do các tổ chức này không còn khả năng thực hiện sứ mệnh ban đầu của mình, sự can thiệp của chính quyền đã khiến các tổ chức này mất đi sự độc lập và tính toàn vẹn. Bà cũng đề cập đến cuốn tiểu thuyết nổi tiếng “Fahrenheit 451” của Ray Bradbury, một cuốn sách mô tả một xã hội nơi sách bị đốt, kiến thức bị đàn áp. Nelson cho biết, tình hình thực tế đã rất giống với những gì được mô tả trong tiểu thuyết.

Việc Nelson từ chức là một lời chỉ trích gay gắt đối với môi trường chính trị hiện tại. Bà nói rằng hành vi của chính quyền đã gây ra một mối đe dọa nghiêm trọng đối với tự do tri thức và các nguyên tắc dân chủ. Bà cũng kêu gọi mọi người chú ý đến những vấn đề này để ngăn chặn sự xói mòn hơn nữa đối với tri thức và dân chủ.

HN | Nóng: 215 điểm | 247 bình luận | Tác giả: jbegley | 9 giờ trước #

https://news.ycombinator.com/item?id=43973210

  • Lĩnh vực nghiên cứu khoa học của Hoa Kỳ đã bị tổn hại nghiêm trọng, đặc biệt là trong thời chính quyền Trump, nhiều nhà khoa học nước ngoài đang cân nhắc rời khỏi Hoa Kỳ hoặc chuyển sang nghiên cứu công nghiệp.
  • Nguồn tài trợ cho nghiên cứu khoa học của Hoa Kỳ đang đối mặt với sự không chắc chắn, có thể khó phục hồi trong những năm tới, dẫn đến sự mất mát nhân tài nghiên cứu khoa học và sự suy giảm khả năng đổi mới.
  • Các trường đại học không thể đồng thời yêu cầu hỗ trợ tài chính công và duy trì sự thuần khiết về ý thức hệ, chính phủ không nên phân biệt dựa trên khuynh hướng chính trị.
  • Nghiên cứu trong ngành khác với nghiên cứu học thuật, nghiên cứu trong ngành thường bị thúc đẩy bởi lợi nhuận ngắn hạn, trong khi nghiên cứu học thuật chú trọng đến tiến bộ khoa học lâu dài và lợi ích của nhân loại.
  • Nghiên cứu trong ngành không phải là hoàn toàn không thể thực hiện nghiên cứu khoa học cơ bản, ví dụ như Bell Labs và Microsoft Research đã có những ví dụ về nghiên cứu khoa học máy tính lý thuyết và toán học.
  • Tuy nhiên, một số lĩnh vực khoa học như thiên văn học, vật lý học và địa vật lý có thể khó thực hiện nghiên cứu trong ngành.

PDF to Text, a challenging problem #

https://www.marginalia.nu/log/a_119_pdf/

Bài viết này thảo luận về những thách thức trong việc trích xuất văn bản từ các tệp PDF. Định dạng tệp PDF không phải là định dạng văn bản mà là định dạng đồ họa, nó ánh xạ các glyph (hình dạng ký tự) đến tọa độ trên “giấy”. Định dạng này gây khó khăn cho việc trích xuất thông tin văn bản, vì các glyph có thể bị xoay, chồng chéo và sắp xếp lộn xộn, đồng thời thiếu thông tin ngữ nghĩa.

Để giải quyết vấn đề này, tác giả đã thử sử dụng lớp PDFTextStripper của PDFBox, nhưng nhận thấy nó có một số hạn chế, chẳng hạn như không thể nhận dạng tiêu đề và các thông tin ngữ nghĩa khác. Do đó, tác giả đã thực hiện một số sửa đổi để trích xuất thông tin văn bản trong tệp PDF tốt hơn.

Đầu tiên, tác giả cố gắng nhận dạng tiêu đề. Họ phát hiện ra rằng tiêu đề thường sử dụng phông chữ đậm hoặc đậm hơn và được tách biệt với các văn bản khác. Tuy nhiên, không phải tất cả các tiêu đề đều sử dụng phông chữ đậm, một số tiêu đề có thể sử dụng kích thước phông chữ để phân biệt. Để giải quyết vấn đề này, tác giả đã sử dụng phương pháp thống kê kích thước phông chữ, tính toán phân bố kích thước phông chữ của mỗi trang và sử dụng trung vị làm ngưỡng để nhận dạng tiêu đề.

Thứ hai, tác giả cố gắng kết nối các tiêu đề liên tiếp. Họ phát hiện ra rằng tiêu đề có thể được chia thành nhiều dòng và cần kết nối các dòng này để tạo thành một tiêu đề hoàn chỉnh. Tuy nhiên, vấn đề này không đơn giản như vậy, vì một số tiêu đề có thể sử dụng căn phải hoặc thụt lề để biểu thị sự bắt đầu của một đoạn văn.

Cuối cùng, tác giả thảo luận về các phương pháp nhận dạng đoạn văn. Họ phát hiện ra rằng PDFTextStripper sử dụng một phương pháp hỗn hợp, kết hợp khoảng cách dòng và thụt lề để nhận dạng đoạn văn. Tuy nhiên, phương pháp này có một số hạn chế, chẳng hạn như không thể xử lý các tài liệu có khoảng cách dòng khác nhau. Để giải quyết vấn đề này, tác giả đã sử dụng phương pháp thống kê khoảng cách dòng, tính toán phân bố khoảng cách dòng của mỗi trang và sử dụng trung vị làm ngưỡng để nhận dạng đoạn văn.

Nói chung, bài viết này thảo luận về những thách thức và giải pháp trong việc trích xuất văn bản từ các tệp PDF. Tác giả đã sử dụng các phương pháp thống kê và mô hình học máy để nhận dạng tiêu đề, kết nối các tiêu đề liên tiếp và nhận dạng đoạn văn. Những phương pháp này có thể giúp cải thiện độ chính xác và hiệu quả của việc trích xuất thông tin văn bản trong tệp PDF.

HN | Nóng: 209 điểm | 113 bình luận | Tác giả: ingve | 9 giờ trước #

https://news.ycombinator.com/item?id=43973721

  • Chuyển đổi PDF sang văn bản là một vấn đề đầy thách thức
  • Một số người đã từng dành rất nhiều thời gian nghiên cứu PDF và OCR, nhưng sau đó lại hoàn toàn quên mất
  • Tesseract là OCR mã nguồn mở tốt nhất trong quá khứ, nhưng hiện tại docTR có thể tốt hơn
  • Một số người đã thử sử dụng Tesseract để trích xuất văn bản từ PDF
  • Có người mong muốn có thể xem luồng nội dung của PDF giống như công cụ dành cho nhà phát triển của trình duyệt
  • PDF.js có thể hiển thị PDF thành DOM, do đó có thể dễ dàng phân tích cú pháp PDF hơn
  • Công cụ cpdf có thể chuyển đổi PDF sang định dạng JSON, nhưng không thể thực hiện tương tác theo thời gian thực
  • Một số người đã sử dụng công cụ cpdf để phân tích cú pháp PDF, nhưng vẫn còn một số hạn chế
  • Có người cho rằng việc có thể xem luồng nội dung của PDF giống như xem mã nguồn HTML là rất hữu ích